JS 应用&安全案例&泄漏云配置&接口调试&代码逻辑&框架漏洞自检

在 Javascript 中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞。
JS 开发应用和 PHP , JAVA 等区别在于即没源代码,也可通过浏览器查看源代码。
获取 URL ,获取 JS 敏感信息,获取代码传参等,所以相当于 JS 开发的 WEB 应用属于白
盒测试,一般会在 JS 中寻找更多 URL 地址,(加密算法, APIkey 配置,验证逻辑,框
架漏洞等)进行后期安全测试。
1 、会增加攻击面( URL 、接口,分析调试代码逻辑)
2 、敏感信息(用户密码、 ak/sk 、 token/session )
3 、潜在危险函数( eval 、 dangerallySetInnerHTML )
4 、开发框架类 ( 寻找历史漏洞 Vue 、 NodeJS 、 Angular 等 )
打包器 Webpack : PackerFuzzer
AK/SK 云安全利用:工具箱 CF (云安全后续会讲更多)
浏览器插件: Pentestkit FindSomething Wappalyzer (前期的 JS 收集项目)

相关推荐
坐吃山猪1 天前
SpringBoot01-配置文件
java·开发语言
晚风(●•σ )1 天前
C++语言程序设计——06 字符串
开发语言·c++
我叫汪枫1 天前
《Java餐厅的待客之道:BIO, NIO, AIO三种服务模式的进化》
java·开发语言·nio
Nicole-----1 天前
Python - Union联合类型注解
开发语言·python
晚云与城1 天前
今日分享:C++ -- list 容器
开发语言·c++
兰雪簪轩1 天前
分布式通信平台测试报告
开发语言·网络·c++·网络协议·测试报告
FPGAI1 天前
Qt编程之信号与槽
开发语言·qt
Swift社区1 天前
从 JDK 1.8 切换到 JDK 21 时遇到 NoProviderFoundException 该如何解决?
java·开发语言
0wioiw01 天前
Go基础(④指针)
开发语言·后端·golang
gnip1 天前
Jst执行上下文栈和变量对象
前端·javascript